漏洞分析 | 契约锁命令执行漏洞分析(离别篇)

admin 2023年11月30日11:05:16评论127 views字数 1657阅读5分31秒阅读模式

0x01 漏洞复现
利用poc执行命令,即可直接获取到目标系统的命令结果回显

漏洞分析 | 契约锁命令执行漏洞分析(离别篇)

0x02 漏洞分析

根据漏洞的url中包含%2e%2e/这种权限绕过的符号可以知道这其实是springboot引入的tomcat对路径参数解析特性造成的权限绕过;比如以下请求同样能够正确的执行命令,详细的分析可以看《tomcat路径解析特性》

漏洞分析 | 契约锁命令执行漏洞分析(离别篇)

漏洞分析 | 契约锁命令执行漏洞分析(离别篇)

在tomcat解析完路径之后的请求api路径就是/template/html/add,找到与其对应的Controller就是privapp.jar里面的com.qiyuesuo.api.TemplateHtmlController. addHtmlTemplate方法

漏洞分析 | 契约锁命令执行漏洞分析(离别篇)

在addHtmlTemplate方法中先判断请求的参数中是否包含file和title参数,这两个参数必须存在否则会抛出异常,限定了标题名称不能超过100字

漏洞分析 | 契约锁命令执行漏洞分析(离别篇)

接下来会有两个判断语句,走完这两个语句之后会先获取请求中的params参数

漏洞分析 | 契约锁命令执行漏洞分析(离别篇)

获取到params参数又逐个遍历,通过jackson反序列化params中的extensionParam参数,这个参数优惠对其进行正则匹配,正则匹配完了之后还会替换({})中的内容为1

漏洞分析 | 契约锁命令执行漏洞分析(离别篇)

完成上述操作之后则会进入

com.qiyuesuo.api.TemplateHtmlController#checkExpression方法中

这里面直接调用了new

ScriptEngineManager().engineManager.getEngineByName("javascript").eval(expression)方法

达到命令执行的效果

漏洞分析 | 契约锁命令执行漏洞分析(离别篇)

0x03 小插曲
契约,如同一句承诺,一处约定,一份责任的承担。
但谁又知道,我们的相遇就不是被前世的某种契约,紧紧锁在一起呢。
谨以此篇文章,送给我即将远行的好友,未来巨擘:科xxxx余xxx!
鄙人不才,取一浅诗送行之:

别余大
春风送暖入新程,扬帆起航勇向前。
锐意进取展宏图,破晓前行启新篇。
异地风尘多险恶,别情依依断桥边。
吾友此去何归期,遥望星空心相连。
他日相逢重聚首,且把杯酒话当年。
愿君前程似锦绣,再聚重逢笑开颜。

END


往期经典回顾


JS断点调试教学

搜索框之%的妙用

子域接管漏洞讲解

HTTP头部注入漏洞

Tomcat路径解析特性

ChatGPT渗透教学(一)

对某授权学校的常规渗透

一次另类的mssql渗透之路

DirtyPipe-脏管道内核提权

web站点登录框的常规突破

openfire权限绕过漏洞分析

若依4.7.6任意文件下载分析

 一次没有逗号的MSSQL注入

host碰撞之边界突破getshell

另类的SSRF漏洞的挖掘与利用

另类的XSS攻击之新型XSS载体

Nacos历史+最新漏洞详细分析

新型目录碰撞工具DirCollision

Windows文件/文件夹隐藏技巧

xray windows 1.9x版通杀补丁

初学者的mimikatz免杀制作教程

低版本Tomcat如何另类getshell

Nginx配置不当导致内网资产暴漏

web登录框密码加密的突破小秘密

Windows快捷方式权限维持与后门

ChatGPT在红蓝队中的利用姿势(二)

金蝶Apusic未授权目录遍历漏洞分析

ServerStatusDiffInterceptor反序列化

Linux本地sudo(CVE-2021-3156)提权

spring-security 三种情况下的认证绕过

密码测评相关概念及国标和行标文档分享

中华人民共和国金融行标文档分享及介绍

中华人民共和国工控国标文档分享及介绍

fastjson反序列化漏洞初探之parseObject

Chatbox 解决chatgpt网页端访问卡顿掉线

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,文章作者和本公众号不承担任何法律及连带责任,望周知!!!

点赞是鼓励 在看是认同 分享传递知识

看完点个“在看”漏洞分析 | 契约锁命令执行漏洞分析(离别篇)分享给更多人漏洞分析 | 契约锁命令执行漏洞分析(离别篇)

原文始发于微信公众号(杂七杂八聊安全):漏洞分析 | 契约锁命令执行漏洞分析(离别篇)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年11月30日11:05:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   漏洞分析 | 契约锁命令执行漏洞分析(离别篇)https://cn-sec.com/archives/2254675.html

发表评论

匿名网友 填写信息